L’installation d’un proxy IMAP sous dovecot doit s’accompagner d’une protection contre d’éventuelles attaques brute force ou autres, on doit donc le protéger grâce à Fail2ban.
Prérequis
On considère que votre serveur est fonctionnel et que Fail2ban est installé.
yum install fail2ban
apt-get install fail2banConfiguration
Dans /etc/fail2ban/filter.d/dovecot-maillog.conf
[INCLUDES]
before = common.conf
[Definition]
# to test set up use this
# /usr/bin/fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-maillog.conf
failregex = (?: Authentication failure|Aborted login).*rip=<HOST>(?:[^>]*(?:, session=<\S+>)?)\s*$
ignoreregex = (?: Disconnected: Logged out).*Ensuite, il ne reste plus qu’à mettre en place la prise en charge du filtre par Fail2ban. Pour cela on ajoute dans le fichier /etc/fail2ban/jail.local le contenu suivant :
# dovecot defaults to logging to the mail syslog facility
# but can be set by syslog_facility in the dovecot configuration.
[dovecot-maillog]
enabled = true
filter = dovecot-maillog
action = iptables-multiport[name=dovecot-maillog, port="smtp,pop3,imap", protocol=tcp]
logpath = /var/log/maillog
maxretry = 3
findtime = 600
bantime = 1h
ignoreip = 172.16.0.0/12 192.168.0.0/16 10.0.0.0/8 127.0.0.1
